Verwirrung um von Vodafone entdeckte Huawei ‘Backdoor’

Der Mobilfunkanbieter Vodafone hat wohl vor Jahren Schwachstellen in seinen an Kunden ausgelieferten oder selbst genutzten Huawei-Geräten gefunden. Der Aufforderung zur Nachbesserung ist Huawei zwar nachgekommen – diese waren aber danach noch in den Geräten enthalten. Dies ließ Spekulationen zu Hintertüren aufkommen, zumal ein offener Telnet-Zugang gefunden wurde.


Anzeige

Der chinesische Anbieter Huawei (Smartphones, Netzwerkgeräte und –infrastruktur) wird ja vom chinesischen Staat und Militär finanziert. In den USA und auch in der EU ist nun eine Diskussion entbrannt, ob der Anbieter kritische Kommunikationsinfrastruktur liefern darf. In den USA ist Huawei mit einem Bann belegt, in der EU gilt 'Nur die dümmsten Kälber wählen ihre Metzger selber' – Huawei ist weiter Zulieferer kritischer Infrastruktur.

Der Fall bei Vodafone

Das US-Magazin Bloomberg hat wohl 4 Wochen an einem jetzt berichteten Fall recherchiert. Demnach hat das Kommunikationsunternehmen Vodafone 2009 und 2012 Hintertüren in Huawei-Geräten entdeckt. Dies hat die Vodafone Group Plc gegenüber Bloomberg bestätigt.

Laut Vodafone wurden damals Schwachstellen in Geräten von Huawei gefunden, die in Italien verwendet wurden. Europas größte Telefongesellschaft identifizierte (laut internen Sicherheits-Audit-Dokumenten) versteckte Hintertüren in der Software, die Huawei unbefugten Zugang zum Festnetz des Carriers in Italien gewährt haben könnten.

Vodafone gibt zwar an, dass die Probleme seinerzeit gelöst wurden, aber auch dort gibt es einen Haken. Vodafone bat Huawei im Jahr 2011, die Hintertüren in den Heim-Internet-Routern zu entfernen. Vodafon erhielt von Huawei die Zusicherung, dass die Probleme behoben wurden. Aber weitere Tests ergaben, dass die Schwachstellen in der Router-Firmware weiterhin vorhanden waren.

Laut Bloomberg identifizierte Vodafone auch Hintertüren in Teilen seines Festnetzes, und zwar in dessen Knoten, wo  Glasfaser-Übergänge benutzt wurden, um den Internetverkehrs weiter zu leiten. Dort wird auch eine Teilnehmerauthentifizierung und der Zugang zum Internet geregelt, sagten Insider, die nicht genannt werden möchten.

Auch wenn Vodafone schreibt, dass es keine Beweise gäbe, dass die Hintertüren jemals ausgenutzt wurden, sind diese Enthüllungen Wasser auf die Mühlen der Huawei-Kritiker und können den Ruf des Unternehmens, welches eines der wichtigen Symbole für Chinas globale Technologiekompetenz gilt, weiter beschädigen.

Vodafon bestreitet Sicherheitsrisiko

In einem BBC-Bericht von gestern bestreitet Vodafone aber den von Bloomberg vorgelegten Bericht, demzufolge Probleme mit Geräten von Huawei in den Jahren 2011 und 2012 von Vodafone gefunden wurden. In einer Erklärung gegenüber der BBC sagte Vodafone:

Die in der Bloomberg-Story identifizierten Probleme in Italien wurden alle gelöst und stammen aus den Jahren 2011 und 2012.

Die "Hintertür", auf die sich Bloomberg bezieht, war ein Telnet-Zugang, ein Protokoll, das von vielen Anbietern in der Industrie zur Durchführung von Diagnosefunktionen verwendet wird. Der Telnet-Zugang wäre laut Vodafone nicht über das Internet zugänglich gewesen. Vodafone schreibt weiter:


Anzeige

Bloomberg hat Unrecht, wenn sie schreiben, dass dies Huawei einen unbefugten Zugang zum Festnetz des Betreibers in Italien gewährt haben könnte.

Darüber hinaus haben wir keine Beweise für einen unbefugten Zugriff. Dies war nichts anderes als ein Versäumnis, eine Diagnosefunktion nach der Entwicklung zu entfernen.

Die Probleme wurden durch unabhängige Sicherheitstests identifiziert, die von Vodafone als Teil unserer routinemäßigen Sicherheitsmaßnahmen initiiert und damals von Huawei behoben wurden.

Auch ein Sprecher von Huawei sagte: "Wir wurden in den Jahren 2011 und 2012 auf Schwachstellen aufmerksam gemacht gesprochen. Software-Schwachstellen sind eine branchenweite Herausforderung. Wie jeder Anbieter von ICT [Informations- und Kommunikationstechnologie] verfügen wir über einen etablierten öffentlichen Benachrichtigungs- und Patchsystem, und wenn eine Schwachstelle erkannt wird, arbeiten wir eng mit unseren Partnern zusammen, um die entsprechenden Korrekturmaßnahmen zu ergreifen." Golem beleuchtet hier diesen Sachverhalt und hat auch eine Stellungnahme von Vodafon veröffentlicht.

Scheint also alles ein Sturm im Wasserglas gewesen zu sein und passt in das Schema, dass die USA die Chinesen draußen halten wollen. Aber Hand aufs Herz: Eine Unsicherheit bezüglich Huawei bleibt schon. Früher hieß es 'Wer sich mit fahrendem Gesindel ins Bett legt, darf nicht hoffen, frei von Läusen zu bleiben'. Und das 'Setz mir keine Laus in den Pelz' ist auch ein geflügelter Spruch. Wie das in Bezug auf Huawei zu handhaben ist, bleibt mir aber weiterhin unklar.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Verwirrung um von Vodafone entdeckte Huawei ‘Backdoor’

  1. Micha sagt:

    Netzwerktechnik gibt es auch von anderen Firmen als Huawai.

    Man könnte ja auch Technik von Hirschmann, Siemens oder Nokia benutzen.

    • natilda sagt:

      bloss:
      wir sind NICHT mehr in den 1990ern des letzten Jhdt., wo so ein Argument vlt noch gegriffen hätte.
      Mittlerweile ist Huawei der mit Abstand größte und innovativste Anbieter von Netzwerktechnik. Mit zB. auch der größten Forschungsabteilung.
      An denen kommt man nicht vorbei, will man bestimmte Dinge. Deswegen werden sie ja auch u.a. von den wie immer gern tumben Amis so angegangen – weil die nur noch bedingt anbieten können…

  2. Herr IngoW sagt:

    Die Amis wollen halt jegliche Konkurrenz ausschalten um an Aufträge zu kommen.

  3. riedenthied sagt:

    Traut Bloomberg ernsthaft noch einer über den Weg? Ich sag nur Super Micro…

    Davon abgesehen: Wer ist denn besser? Cisco? :-D Snowden ist wohl schon wieder komplett vergessen. Ich wäre da vorsichtig mit den Kälbern und den Metzgern.

    • Bernard sagt:

      Richtig.

      CISCO-Geräte hatten zum Glück nie eine Hintertür etc.

      Und die CIA hat über In-Q-Tel niemals IT-Firmen unterstützt.

      So ist die einfache Welt der US-Amerikaner.

      Im Zweifelsfall kommt die Demokratie per Bombenangriff.

  4. ralf sagt:

    zu "In den USA ist Huawei mit einem Bann belegt, in der EU gilt 'Nur die dümmsten Kälber wählen ihre Metzger selber' – Huawei ist weiter Zulieferer kritischer Infrastruktur":

    im artikel geht es um router, daher:
    https://www.google.com/search?q=cisco+backdoor&tbm=nws

    us-hardware ist vertrauenswuerdiger?

    • ralf sagt:

      korrektur zu "im artikel geht es um router":

      nicht nur.

      THE VERGE (30.04.2019):
      The vulnerabilities were discovered between 2009 and 2011 in Huawei's home internet routers, as well as its equipment used in parts of Vodafone's network infrastructure.

      trotzdem:
      https://de.wikipedia.org/wiki/Cisco_Systems#Spionage-Vorw%C3%BCrfe
      https://en.wikipedia.org/wiki/Cisco_Systems#Firewall_backdoor_developed_by_NSA

    • Ralf Lindemann sagt:

      „us-hardware ist vertrauenswuerdiger?" – Ja.

      Wenn man schon vergleichen will: Die Vereinigten Staaten sind, trotz aller negativen Entwicklungen seit 9/11, eine gefestigte Demokratie mit langer Tradition, funktionierendem Rechtsstaat, freier Wissenschaft und freier Presse. Vieles, was wir über NSA, Snowden etc. wissen, wissen wir auch deshalb, weil es in den USA eine kritische Öffentlichkeit gibt. Das alles gibt es in China nicht: China ist eine pseudokommunistische Diktatur mit Weltmachtgelüsten nach Außen und repressiver Gewalt nach Innen. Die Frage ist, die sich für uns in diesem Zusammenhang stellt: Wollen wir uns bei infrastrukturellen Schlüsseltechnologien in die Abhängigkeit einer solchen Diktatur begeben? Ich denke, nein. Wenn am Ende tatsächlich nur die Wahl bliebe, von China oder von den USA ausspioniert zu werden, sind die USA wahrscheinlich das kleinere und, wenn man so will, das vertrauenswürdigere Übel. – Besser wäre es, Europa würde das Thema „digitale Souveränität" ganz oben auf die industriepolitische Agenda setzen. Das Problembewusstsein scheint aber zu wachsen. Das zeigen die Diskussionen um Huawei.

      • pinot sagt:

        wers glaubt wird selig.
        wat ein hilfloser Dummfug – dann vertrauma…

      • ralf sagt:

        die sprich- und wortwoertlichen "leichen im keller", die china im inneren hat, haben die vereinigten staaten im aeusseren – ein paar stichwoerter ohne anspruch auf vollstaendigkeit: beteiligung am sturz einer demokratisch gewaehlten regierung im iran ("operation ajax"), beteiligung am staatsstreich gegen kuba ("invasion in der schweinebucht"), vortaeuschung eines eintrittsgrundes in den vietnamkrieg ("tonkin-zwischenfall"), einsatz von flaechenwaffen in vietnam (napalm und splitterbomben), bombardierung des neutralen kambodschas ("operation menu"), vertuschung von "kollateralschaeden" und kriegsverbrechen (z.b. das "massaker von my lai"), unterstuetzung von "operation condor" in lateinamerika, "us-intervention in chile", unterstuetzung der invasion osttimors durch indonesien ("operation seroja"), "iran-contra-affaere", entfuehrungen/verschleppungen ueber landesgrenzen hinweg ohne juristische grundlage ("extraordinary renditions"), exterritoriale internierung ohne ordentliche gerichtsverfahren und anwendung von folter ("guantanamo bay naval base" und sogenannte "black sites"), drohnenkrieg bzw. allgemeiner: "targeted killings".

        zurueck zum thema:
        bei der frage des vertrauens in die sicherheit auslaendischer technik geht es meines erachtens nicht darum, welches land oder welche regierungsform man sympathischer findet. ein land, das die hauptrolle in der groessten bisher bekanntgewordenen ueberwachungs- und spionageaffaere innehat, ein land, das "national security letters" einsetzt und sich darueberhinaus auch international sonderbare rechte herausnimmt ("cloud act"), kann fuer mich kein ort gesteigerten vertrauens in die sicherheit der datenverarbeitung sein. ich bitte daher, meinen hinweis auf "made in usa" nicht als plaedoyer fuer "china" oder "made in china" zu missverstehen. zur nsa schreibt WIKIPEDIA interessanterweise: "In Deutschland bestanden von 2007 bis 2013 die Hauptaufgaben in Strategic Mission J (Wirtschaftsspionage) und Strategic Mission K (Überwachung der politischen Führungspersonen)" – dasselbe wird uebrigens china vorgeworfen.

      • Bernard sagt:

        Du hast die Ironietags vergessen.

  5. Paul Brusewitz sagt:

    > Früher hieß es 'Wer sich mit fahrendem Gesindel ins Bett legt,
    > darf nicht hoffen, frei von Läusen zu bleiben'.

    Früher hieß es auch: "Was nützt der Urlaub in Tunesien, so lange der Pole sitzt in Schlesien."

    Will man das so wirklich noch hören?

    Freundliche Grüße
    P.B.

Schreibe einen Kommentar zu pinot Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.